Windows Server

LAPS Kurulum ve Yapılandırma

Cengiz YILMAZ fotoğrafı Cengiz YILMAZ Twitter'da takip edin Bir e-posta göndermek 27/02/2023
0 3 dakika okuma süresi

Microsoft’un LAPS (Microsoft Local Administrator Password Solution) çözümü, domain ortamında bulunan tüm Windows istemcilerinin uç noktalarda local parola yönetimi yapılmasına olanak sağlamaktadır. Üretilen her parola benzersiz bir biçimde üretilmektedir.

Microsoft LAPS Nedir?

LAPS istemcilerede yüklenen küçük bir modül olarak bilinmektedir, bu uygulama ile birlikte istemciler üzerişnde bulunan SID-500 hesaplarının parolalarını belirli süre içerisinde otomatik olarak değiştirebiliyorsunuz. İlgili parola değişiklik ADUC üzerinde kullanıcıların Attribute değerlerine yazılmaktadır.

LAPS deployment sırasında bilmeniz gereken en önemli unsur hem yönetici modülü hem de Client modulü olması gerektiğidir. LAPS şifresini bulmak için PowerShell, LAPS GUI veya Active Directory Users and Computers (ADUC) kullanılabilir.

LAPS Gereksinimleri

Her ürünün olduğu gibi LAPS içinde sistem gereksinimleri bulunmaktadır;

1- Kullanılan tüm cihazların Domain üyesi olması gerekmektedir

2- Sadece 1 Local Hesap için çalışmaktadır. (Güvenlik için diğer hesapları Disabled duruma getirmenizde fayda bulunuyor.)

3- AD şemasının genişletilmesi gerekiyor.

4- LAPS’ın tüm ortama yüklenmesi gerekmektedir.

LAPS’ı Domain Controller Üzerine Yükleme Adımları

Bu adımda Domain Controller üzerinde yapılması gereken tüm adımları gerçekleştireceğiz. LAPS.x64 kurulumu, AD Şema genişletme, izin yapılandırmaları ve GPO oluşturma adımlarını yapacağız.

Önceliğimiz Download Local Administrator Password Solution (LAPS) from Official Microsoft Download Center LAPS.msi dosyasını indirmek olacak.

Domain Controller üzerinde LAPS kurulumu yaparken aşağıdaki modülleri yüklememiz yeterli olacaktır, kurulumu yanlış yaptığınız zaman LAPS çalışmayabilir.,

Yüklenmesi gereken LAPS modülleri aşağıdaki gibidir;

PowerShell Module

GPO Editor templates

Fat Client UI

Domain Controller üzerine LAPS kurulumu yaptıktan sonra, Active Directory şemasını genişletebiliriz.

LAPS için Active Directory Şema Genişletme

LAPS için Active Directory şemamızı genişletmemiz gerekmektedir, bu genişletme işlemi için Schema Administrator üyesi olmamız gerekiyor.

  • Import-Module AdmPwd.ps
  • Update-AdmPwdADSchema
Active Directory Schema Extend

Şema genişletme işlemi Computer sınıfına iki yeni Attributes eklemektedir;

ms-MCS-AdmPwd

ms-MCS-AdmPwdExpirationTime

Import-Module AdmPwd.ps işlemini yaptığımız PowerShell penceresi açıkken gerekli izinleri yapılandırmaya başlayabilir.

LAPS için Öznitelikleri Yetkilendirme

Parolalar ADUC üzerinde düz metin olarak depolanmaktadır, bunun buraya erişimi kısıtlamamız gerekmektedir. ms-MCS-AdmPwd değeri All Extended Rights izinlerişne sahip bütün kullanıcılar tarafından okunabilmektedir.

Find-AdmPwdExtendedRight komutunu kullanarak bu izinlere sahip tüm kullanıcılarımızı listeyelebiliriz, bunun için kullanılması gereken komut seti aşağıdaki gibidir;

Find-AdmPwdExtendedRights -Identity Desktops | Format-Table ExtendedRightHolders

İzinli kişileri görüntüedikten sonra eğer burda bir yetkilendirme işlemi yapmanız gerekiyorsa, aşağıdaki adımları takip edebilirsiniz;

Öncelikle, ADSIEdit‘i çalıştırmanız gerekmektedir.

ADSIEdit.msc

Daha sonra düzenleme yapmak istediğimiz OU’ya gelerek Properties – Security – Advanced – bölümüne gelerek kısıtlamak istediğiniz kullanıcın yetkilerinden All Extended Rights yetkisini kaldırabilirsiniz.

All Extended Rights

Kısıtlama işlemini tüm gruplar içerisinde yapmanız gerekmektedir.

ms-MCS-AdmPwd ve ms-MCS-AdmPwdExpirationTime değerleri değiştirildiğinnden, bilgisayarın hesaplarına değiştirme izni vermemiz gerekmektedir. Bunun için Set-AdmPwdComputerSelfPermission parametresini kullanacağız.

Ben Servers OU’su için değiştirme izni vereceğim ve bunun için kullanmam gereken komut seti aşağıdaki gibidir;

Set-AdmPwdComputerSelfPermission -OrgUnit Servers

Eğer ortamda aynı isimde başka OU’larda bulunuyorsa OU ismi yerine dG değerini girmeniz gerekmektedir.

Not: LAPS değerleri RODC üzerinde bulunmamaktadır.

Bir sonraki adımımız ise parola okuma izni vermek olacaktır, bu izinleri bir Security Group oluşturarak yapabilirsiniz.

Set-AdmPwdReadPasswordPermission -OrgUnit Servers-AllowedPrincipals Cengiz

Parola okuma izni verdikten sonra, parola reset yetkiside verebiliriz, parola reset yetkisi verdiğiniz grup üyeleri bilgisayar parolalarını değiştirebilirler.

Set-AdmPwdResetPasswordPermission -OrgUnit Servers -AllowedPrincipals Cengiz

LAPS Group Policy Yapılandırması

LAPS kurulumu, Şema genişletme, izin yapılandırmasını yaptıktan sonra LAPS için GPO yapılandırmasını yapmamız gerekmektedir. LAPS modülü içerisinde 4 adet özelleştirilebilir ayar bulunmaktadır.

Öncelikle Group Policy Management içerisinde LAPS için yeni bir Policy oluşturuyorum ve bunu düzenlemeye başlayabiliriz.

Computer Configuration – Policies – Administrative Templates – LAPS adımlarını takip edebilirsiniz.

  • Password Settings; Parola karmalşıklığını ve parola süresini yapılandırılması gerekmektedir.
  • Name of administrator account to manage; Yönetilecek olan hesabın adı girilmesi gerekmektedir, varsayılan olarak SID-500 hesabı etkindir.
  • Do not allow password expiration time longer than required
  • Enable local admin password management; Parola yönetim ilkesini etkinleştirmek için Enabled durumda olması gerekmektedir.
Password Settings
Do not allow password expiration time longer than required by policy
Enable local admin password management

Client için LAPS Dağıtımı

İlgili GPO ayarını yaptıktan sonra LAPS.msi dosyasını istemcilere dağıtmamız gerekmektedir, bu işlem içinde aynı Policy kullanabilirsiniz veya SCCM gibi bir ortamınız var ise SCCM kullanarak dağıtabilirsiniz.

Computer Configuration – Policies – Software Settings

LAPS.msi dosyasını SYSVOL gibi paylaşımlı bir klasör içerisinde bulundurmanız gerekmektedir, ilgili dosyayı daha sonra Package içerisinde deploy edebilirsiniz.

GPO ile MSI dosyası yükledikten sonra Event Viewer üzerinde Event ID 12’yi takip edebilirsiniz.

Eğer Client için GPO veya SCCM kullanmak yerine manual kurulum yapmak isterseniz Client üzerinde olması gereken LAPS modülleri aşağıdaki gibidir;

AdmPwd GPO Extension

Client tarafında sadece CSE klasörünün olması yeterlidir.

Bu yapılandırmalar ve kurulumdan sonra ortamımızda Domain üyesi olan tüm istemcilerin Local hesap parolasının yönetimini gerçekleştirebilirsiniz. Bu işlemi Powershell veya GUI üzerinden gerçekleştirebilirsiniz.

Ben LAPS UI kullanarak Exchange Server sunucumun local parolasında değişiklik yapacağım.

GUI ile bu şekilde hesap parolasını yönetebilirsiniz, elde ettiğimiz parola bilgisi Computer – Attribute Editor içerisinden de okunabilmektedir.

Etiketler
Cengiz YILMAZ fotoğrafı Cengiz YILMAZ Twitter'da takip edin Bir e-posta göndermek 27/02/2023
0 3 dakika okuma süresi
Cengiz YILMAZ fotoğrafı

Cengiz YILMAZ

5 Yıldır IT Sektörü içerisindeyim, Microsoft ürünleri ile ilgilenmekteyim. Cengiz YILMAZ | MCT |

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu